华为技术培训教程-DB202004_ME60产品IP业务特性与实现.ppt

ME60产品IP业务特性与实现,培训目标,学完本课程后，您应该能：描ME60BRAS业务相关组件功能描述ME60DHCP/WEB接入的实现流程描ME60静态用户接入的实现流程配置ME60IPoE业务配置ME60IPoEoVLAN业务配置静态用户,目录,ME60BRAS业务组件ME60IP业务接入流程ME60IP业务配置,ME60BRAS特性总体框架,连接管理CM,地址分配与管理AM,业务控制,用户接入识别UCM,AAA和用户管理,服务器RDS,DHCP服务器,策略服务器,BRAS,用户报文,目录,ME60BRAS业务组件ME60IP业务接入流程ME60IP业务配置,DHCP/WEB接入流程,UCM,AAA,RDS/LAM,AM,DHCP,连接建立请求,认证请求,认证回应,连接建立回应,申请地址,连接UP,开始计费,计费回应,UP回应,DHCP+WEB接入流程,WEB,UCM,AAA,RDS/LAM,AM,DHCP,申请地址,认证请求,认证回应,认证确认,用户上线,开始计费,静态用户接入流程,ARP,SRVCFG,UCM,AM,维护一个静态用户探测表，按表进行探测,静态用户探测请求,配置需要探测的静态用户或网管专线,如果不成功需要重发探测请求,回应,静态用户查询,在线用户探测请求,在线用户探测回应,停止上线探测，维护一个在线探测表，开始在线探测,静态地址申请,根据IP地址查询是否静态用户，绑定检查是否通过不是静态用户转动态用户恢复；静态用户绑定检查失败丢弃，成功则建立连接,ARP或IP连接建立请求,目录,ME60BRAS业务组件ME60IP业务接入流程ME60IP业务配置,目录,ME60IP业务配置3.1ME60IPoE业务配置3.2ME60IPoEoVLAN业务配置3.3静态用户配置,IPoE业务模型,IPoE业务组网，一台计算机通过一台HUB或者交换机之后再接在ME60的端口上面。用户采用WEB认证方式。,IPoE接入,LANSwitch,subscriber,ME60,Internet,Accessnetwork,IPoE报文封装过程,TCP/UDP,IP,ETH,TCP/UDP,IP,Connection,Forward,PC,ME60,networkcable,Ethernetframe,opticalfiber,LANSwitch,ETH,Ethernetframe,ETH,Internet,IP业务模型,WebServer,RADIUSServer,ME60,Accessnetwork,subscriber1isp1,客户发DHCP请求获取IP地址,DHCP服务器给客户分配IP地址,ME60IP业务配置基本流程,用来给用户分配IP地址,设定用户是采用radius认证还是不认证,设定用户是采用radius计费还是不计费,设置所采用的radius服务器的参数,设定用户所使用的域，以及域下的参数,使能用户接口的BAS功能并进行设置,特殊配置流程,设置BAS的接入类型,设置用户使用域,设置BAS的认证方式,VT接口和BAS接口配置,配置实例,subscriber1isp1,ME60,GE4/0/1,GE4/0/0,202.1.1.2,Internet,subscriber2isp1,配置流程图,配置认证方案,配置计费方案,配置Radius,配置地址池,配置域,配置Web认证服务器,配置BAS接口,配置上行接口,配置ACL,配置认证方案/计费方案,进入AAA视图Quidwayaaa创建名称为auth1的认证方案Quidway-aaaauthentication-schemeauth1配置auth1的认证方式是radius认证Quidway-aaa-authen-auth1authentication-moderadius同理在AAA视图下创建计费名称为acct1的方案Quidway-aaaaccounting-schemeacct1配置acct1的计费方式为radius计费Quidway-aaa-accounting-acct1accounting-moderadius,注意：1、如果只建立了认证方案或者计费方案，而没有配置相应的方法的话，默认是radius认证radius计费2、系统提供两组默认的认证和计费策略：default0default1,配置RADIUS,配置名称为rd1的Radius服务器组，ME60可以配置8个radius服务器，形成负载分担Quidwayradius-servergrouprd1配置Radius服务器组的认证服务器地址和端口Quidway-radius-rd1radius-serverauthentication202.1.1.2491812配置Radius计费服务器的地址和端口Quidway-radius-rd1radius-serveraccounting202.1.1.2491813配置ME60与Radius服务器对接的密码Quidway-radius-rd1radius-servershared-keyhello,ME60,GE4/0/1,GE4/0/0,202.1.1.2,动态地址池介绍,无论动态获取IP的用户还是采用静态IP地址接入的用户都需要配置地址池。地址池的作用主要是给用户分配地址、分配DNS地址，以及给接入用户提供一个三层接口（gateway）。ME60的地址池分为两种：一种是本地地址池，这是ME60内置DHCP的一种方式；一种是外置地址池，这是采用外置的DHCP服务器来给用户分配地址的一种方式。,配置地址池,创建名称为pool1的本地地址池Quidwayippoolpool1local配置地址池网关Quidway-ip-pool-pool1gateway172.15.1.124配置地址的段，一个地址池可以划分为255个段Quidway-ip-pool-pool1section0172.15.1.2172.15.1.200配置DNS，可以配置多个DNSQuidway-ip-pool-pool1dns-server202.1.1.252,查看配置的地址池Quidwaydisippoolnamepool1Gateway:172.15.1.1Mask:255.255.255.0-IDstartendtotalusedidleconflicteddisable0172.15.1.2172.15.1.200199019900-,配置远端地址池,如果用户的IP地址由远端服务器统一分配，则需要配置远端地址池,创建远端DHCP服务器组，名称为remotedhcpQuidwaydhcp-servergroupremotedchp配置远端DHCP服务器的IP地址Quidway-dhcp-server-group-remotedhcpdhcp-server202.2.2.252创建名称为huweiremote的远端地址池Quidwayippoolhuaweiremoteremote配置远端地址池的网关Quidway-ip-pool-huaweiremotegateway172.15.2.124把地址池与远端的DHCP服务器相关联Quidway-ip-pool-huaweiremotedhcp-servergroupremotedchp,配置WEB服务器,/配置WEB认证服务，WEB服务器与ME60之间采用Portal协议Quidwayweb-auth-server202.1.1.251keywebvlan/配置Portal的协议版本Quidwayweb-auth-serverversionv2/配置与WEB服务器交互的源接口Quidwayweb-auth-serversourceinterfaceGigabitEthernet4/0/0,ME60,GE4/0/0,202.1.1.2,Webserver,202.1.1.251,配置ACL-用户组配置,/创建一个新的用户组，主要用来控制用户在认证前后的访问Quidwayuser-grouphuawei/创建ACL号为6000的用户ACL，用户的ACL从6000-9999Quidwayacl6000/创建规则，禁止此user-group访问任何地址Quidway-acl-ucl-6000ruledenyipsourceuser-grouphuawei/创建ACL号为6001的用户ACLQuidwayacl6001/创建规则，允许此用户组用户访问202.1.1.251WEB服务器Quidway-acl-ucl-6001rulepermitipsourceuser-grouphuaweidestinationip-address202.1.1.2510/创建规则允许此用户组用户访问202.1.1.252的DNS服务器Quidway-acl-ucl-6001rulepermitipsourceuser-grouphuaweidestinationip-address202.1.1.2520,配置ACL-流分类器配置,创建流名称为c1的流分类器Quidwaytrafficclassifierc1配置此分类器的匹配条件，本分类器用ACL匹配，可以用其他方法匹配，如DSCP，802.1P等Quidway-classifier-c1if-matchacl6000创建名称为c2的流分类器Quidway-classifier-c2if-matchacl6001,配置ACL-匹配流分类策略配置,创建名称为deny1的流分类的动作，即满足此类的流应当实施的行为Quidwaytrafficbehaviordeny1匹配流实施的行为是denyQuidway-behavior-deny1deny创建名称为permit1的流分类行为Quidwaytrafficbehaviorpermit1匹配流实施的行为是permitQuidway-behavior-permit1permit,配置ACL-流量策略配置,创建名称为action1的流量策略，Quidwaytrafficpolicyaction1把策略与流分类器和流量行为绑定，一个策略只能包含一种行为，满足c2条件的应用permit1行为，Quidway-trafficpolicy-action1classifierc2behaviorpermit1满足c1分类条件的应用deny1行为Quidway-trafficpolicy-action1classifierc1behaviordeny1把策略在全局下发，如果不用用户ACL控制，其它类ACL可以在接口下下发Quidwaytraffic-policyaction1global,域配置,进入AAA视图Quidwayaaa创建名称为isp1的域Quidway-aaadomainisp1指定域的认证方式，关联认证方案auth1Quidway-aaa-domain-isp1authentication-schemeauth1指定域的计费方式,关联计费方案acct1Quidway-aaa-domain-isp1accounting-schemeacct1把域与认证方案和计费方案的Radius服务器组关联，Quidway-aaa-domain-isp1radius-servergrouprd1把域与配置的IP地址池相关联Quidway-aaa-domain-isp1ip-poolpool1,ME60,GE4/0/1,GE4/0/0,202.1.1.2,缺省域概念介绍,系统常用三种域：一种是认证前的域，对于WEB认证的用户来说，认证前的域主要是用来获取IP地址的。一种是认证域，用来指定用户所采用的认证，计费等策略系统操作用户归属域系统提供的三个默认的域，这三个域只能修改不能删除。Default0默认策略是不认证不计费Default1默认策略是radius认证radius计费。Default_admin默认策略是Radius认证，不计费,ME60域概念介绍,认证前默认域（default-domainpre-authentication）认证默认域（default-domainauthentication）认证域（authenticationdomain）,配置认证前域,创建名称为default0的域，default0只能修改，不能删除Quidway-aaadomaindefault0配置此域的地址池，由于使用WEB认证，认证前后地址不发生变化，Quidway-aaa-domain-default0ip-poolpool1配置认证前用户所在域的用户组，Quidway-aaa-domain-default0user-grouphuawei配置强制WEB认证，如果不配置，则需要用户手工输入认证WEB地址Quidway-aaa-domain-default0web-server202.1.1.251,配置BAS接口,ME60,GE4/0/1,GE4/0/0,202.1.1.2,进入GigabitEthernet4/0/1接口，此接口下连接用户，称为BAS接口Quidwayinterfaceg4/0/1进入bas接口视图Quidway-GigabitEthernet4/0/1bas配置用户的接入方式，是二层还是三层或者专线接入Quidway-GigabitEthernet4/0/1-basaccess-typelayer2-subscriber配置用户认证后的所属的域为isp1,此处认证前属于default0域，认证后属于isp1域。Quidway-GigabitEthernet4/0/1-basdefault-domainpre-authenticationdefault0authenticationisp1配置认证方式为WEB，因为IPoE接入Quidway-GigabitEthernet4/0/1-basauthentication-methodweb,配置网络侧,进入GigabitEthernet4/0/0QuidwayintGigabitEthernet4/0/0配置网络侧接口的IP地址Quidway-GigabitEthernet4/0/0ipaddress202.1.1.224配置访问internet的路由，可以配置OSPF，也可以配置静态路由，或者缺省路由Quidwayiproute-static0.0.0.00.0.0.0202.1.1.1,ME60,GE4/0/1,GE4/0/0,202.1.1.2,Internet,目录,ME60IPoE业务的配置ME60IPoEoVLAN业务配置静态用户的配置,IPoEoVLAN接入业务模型,IPoEoVLAN报文封装,LANSwitch,subscriber,ME60,Internet,Accessnetwork,IPoEoVLAN报文协议栈,TCP/UDP,IP,ETH,TCP/UDP,IP,Connection,Forward,PC,ME60,networkcable,Ethernetframe,opticalfiber,LANSwitch,ETH,Ethernetframe,ETH,Q,Q,VLANTag802.1QBased,特殊配置流程,VT接口和BAS接口配置,绑定VLAN到相应子接口,BAS的接入用户类型,设置用户使用域,设置BAS的认证方式,配置实例,subscriber1isp1,ME60,GE4/0/1.1,GE4/0/0,202.1.1.2,Internet,subscriber2isp1,VLAN2,VLAN3,配置流程图,子接口的配置,创建子接口QuidwayinterfaceGigabitEthernet4/0/1.1将用户所属的VLAN绑定到子接口，此处用户为VLAN2和VLAN3的用户Quidway-GigabitEthernet4/0/1.1uservlan23,ME60,GE4/0/1.1,GE4/0/0,202.1.1.2,配置BAS接口,ME60,GE4/0/1,GE4/0/0,进入GigabitEthernet4/0/1接口，此接口下连接用户，称为BAS接口Quidwayinterfaceg4/0/1.1进入bas接口视图Quidway-GigabitEthernet4/0/1.1bas配置用户的接入方式，是二层还是三层或者专线接入Quidway-GigabitEthernet4/0/1.1-basaccess-typelayer2-subscriber配置用户认证后的所属的域为isp1,此处认证前属于default0域，认证后属于isp1域。Quidway-GigabitEthernet4/0/1.1-basdefault-domainpre-authenticationdefault0authenticationisp1配置认证方式为WEB，因为IPoE接入采用WEB认证Quidway-GigabitEthernet4/0/1.1-basauthentication-methodweb,配置网络侧,进入GigabitEthernet4/0/0QuidwayintGigabitEthernet4/0/0配置网络侧接口的IP地址Quidway-GigabitEthernet4